KR20050002628A - System and method for automatic negotiation of a security protocol - Google Patents

System and method for automatic negotiation of a security protocol Download PDF

Info

Publication number
KR20050002628A
KR20050002628A KR1020040049661A KR20040049661A KR20050002628A KR 20050002628 A KR20050002628 A KR 20050002628A KR 1020040049661 A KR1020040049661 A KR 1020040049661A KR 20040049661 A KR20040049661 A KR 20040049661A KR 20050002628 A KR20050002628 A KR 20050002628A
Authority
KR
South Korea
Prior art keywords
security
protocol
node
external
internal
Prior art date
Application number
KR1020040049661A
Other languages
Korean (ko)
Other versions
KR101086576B1 (en
Inventor
다리오바잔 베자라노
Original Assignee
마이크로소프트 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 마이크로소프트 코포레이션 filed Critical 마이크로소프트 코포레이션
Publication of KR20050002628A publication Critical patent/KR20050002628A/en
Application granted granted Critical
Publication of KR101086576B1 publication Critical patent/KR101086576B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Multi Processors (AREA)
  • Small-Scale Networks (AREA)

Abstract

PURPOSE: An automatic negotiation system and a method of a security protocol are provided to establish a safe connection between an internal node and an external node when a matching protocol is discovered between the first protocol set and the second protocol set, thereby enabling safe communication establishment and authentication with an external agent or the external node. CONSTITUTION: A processing is started(402), and a request for safe connection establishing is generated(404). The request is transmitted to a receiving node(406), and the receiving node receives the request(408). The receiving node compares the first protocol set with the second protocol set to decide whether protocols are matched(410). If so, the node decides whether more than one matching protocol is discovered(412). If so, the node selects one of the matched protocols(414), and starts a safe connection or session between an external agent and an internal manager(416). A specific protocol is exchanged between the agent and the manager(418). The agent and the manager authenticate nodes with each other(420). The safe connection or session is performed between the agent and the manager(422). If the safe session is completed, the safe connection is released(424), and the processing is terminated(426).

Description

보안 프로토콜의 자동 협상 시스템 및 방법{SYSTEM AND METHOD FOR AUTOMATIC NEGOTIATION OF A SECURITY PROTOCOL}SYSTEM AND METHOD FOR AUTOMATIC NEGOTIATION OF A SECURITY PROTOCOL}

본 발명은 네트워크 컴퓨팅 기술에 관한 것으로, 특히 보안-인에이블된 도메인과 하나 이상의 익스터널 노드 사이의 보안 프로토콜의 자동 협상에 관한 것이다.TECHNICAL FIELD The present invention relates to network computing technology, and more particularly, to automatic negotiation of a security protocol between a security-enabled domain and one or more external nodes.

네트워킹 기술의 발전으로 네트워크 관리자 등은 네트워크 및 기타 설비(installation)에 대한 보안 컨트롤을 보다 정교하게 유지할 수 있게 되었다. 예를 들어, Microsoft Windows™NT 2000 및 관련 제품은 관리자가 Active Directory™(AD) 구조를 이용하여 보안-인에이블된 네트워크 도메인을 전개(deploy)할 수 있도록 한다. 마찬가지로 공지의 커베로스(Kerberos) 네트워크 표준도 네트워크 내의 노드들이 키/인증 플랫폼을 이용하여 서로 인증할 수 있도록 한다. 이러한 오프레이팅 기술을 이용함으로써, 네트워크 관리자는 네트워크 서버로부터 예를 들어 규칙들, 애플리케이션, 패치, 드라이브 및 기타 자원들을, 안전한 방식으로 개별 워크스테이션 또는 기타 클라이언트에 대해 일률적인 설치를 위해 푸시(push)할 수 있다. 상기한 보안-인에이블된 도메인 내의 모든 머신들은 이들 및 기타 타입의 데이터의 전송을 투명(transparent)한 방식으로 식별 및 인증할 수 있다.Advances in networking technology have enabled network administrators and others to more precisely maintain security controls for networks and other installations. Microsoft Windows NT 2000 and related products, for example, enable administrators to deploy security-enabled network domains using the Active Directory ™ (AD) architecture. Similarly, the known Kerberos network standard allows nodes in a network to authenticate each other using a key / authentication platform. By using this off-rating technique, network administrators can push rules, applications, patches, drives and other resources from network servers, for example, to a uniform installation to individual workstations or other clients in a secure manner. can do. All machines in the security-enabled domain described above can identify and authenticate the transmission of these and other types of data in a transparent manner.

그러나, 워크스테이션에 대해 규칙, 애플리케이션 또는 기타 자원을 전달하는 것은 노드가 상기한 보안-인에이블된 도메인 외측에 존재하는 경우에는 훨씬 어려워진다. 예를 들어, 한 회사 내의 LAN 상에 수개의 컴퓨터가 존재하는 한편, Active Directory™ 또는 기타 보안-인에이블된 도메인에 속하지 않는 원격지 내의 컴퓨터와도 상호작용하는 경우가 있을 수 있다. 상기한 도메인에 대해 인터널인 머신과 그 외측의 머신 사이의 접속 확립에는 상호 지원되는 보안 프로토콜에 대한 합의가 있어야 하므로, 보안 도메인의 경계에서 통신하는 것은 보다 복잡하게 된다.However, passing rules, applications, or other resources to the workstation becomes much more difficult if the node is outside of the above security-enabled domain. For example, there may be several computers on a LAN within a company, while also interacting with computers in remote locations that do not belong to Active Directory ™ or other security-enabled domains. The establishment of a connection between a machine that is internal to the domain and a machine outside of that domain requires agreement on mutually supported security protocols, so communication at the boundary of the security domain becomes more complicated.

따라서, 시스템 관리자 등은 세션이 시작되기 전에 인터널 머신과 익스터널 머신 사이에 호환되는 프로토콜을 식별함으로써 익스터널 에이전트 또는 노드의 보안-인에이블된 도메인으로의 진입(entry)을 구성하기 위해 시도해야만 한다. 예를 들어, 익스터널 에이전트는 TLS(transport layer security) 프로토콜, 커베로스-기반 프로토콜, SSL(secure socket layer) 또는 기타 프로토콜을 이용하여 상기한 보안-인에이블된 도메인 내의 관리 서버와 통신하도록 구성될 수 있다. 상기한 머신은 나아가 그 프로토콜, 즉 디폴트 프로토콜 내에 프로토콜 장애(failure)를 표시하고 상기한 익스터널 노드 또는 에이전트에 대해 프로토콜의 스위칭을 요청하거나 또는 다른 응답을 할 수도 있다. 따라서, 보안, 트랜스퍼 및 기타 프로토콜의 수동 세팅 또는 조정이 필요하며, 이 프로세스는 많은 시간이 소요될 뿐만 아니라 에러를 유발할 수 있다. 그 외에도 다른 문제가 존재할 수 있다.Therefore, a system administrator or the like must attempt to configure entry of an external agent or node into a security-enabled domain by identifying a compatible protocol between the internal and external machines before the session begins. do. For example, the external agent may be configured to communicate with a management server in the security-enabled domain described above using a transport layer security (TLS) protocol, a Kerberos-based protocol, a secure socket layer (SSL), or other protocol. Can be. The machine may further indicate a protocol failure within its protocol, i.e., the default protocol, and request switching of the protocol or other response to the external node or agent. Thus, manual setting or adjustment of security, transfer, and other protocols is required, and this process can be time consuming and error prone. In addition, other problems may exist.

도 1은 본 발명의 실시예가 동작될 수 있는 네트워크 구조를 예시한 도면.1 is a diagram illustrating a network structure in which an embodiment of the present invention may operate.

도 2는 본 발명의 실시예에 따른 인터널 노드와 익스터널 노드 사이의 협상 프로세스를 예시한 도면.2 illustrates a negotiation process between an internal node and an external node according to an embodiment of the present invention.

도 3은 본 발명의 실시예에 따른 프로토콜 테이블들 사이의 비교를 예시한 도면.3 illustrates a comparison between protocol tables in accordance with an embodiment of the present invention.

도 4는 본 발명의 실시예에 따른 전반적인 프로토콜 협상 프로세싱을 예시한 도면.4 illustrates overall protocol negotiation processing in accordance with an embodiment of the present invention.

<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for the main parts of the drawings>

102: 보안-인에이블된 도메인102: security-enabled domain

104: 매니저104: manager

106: 인터널 에이전트106: Internal agent

108: 인증서108: certificate

110: 인증서 기관110: certificate authority

112: 인터넷112: the Internet

114: 익스터널 에이전트114: External agent

116: 인증서116: certificate

본 발명은 전술한 종래기술의 문제점을 해결한 것으로, 일 태양에 따르면, 관리자의 개입을 필요로 하지 않고 자동화된 방식으로, 익스터널 에이전트 또는 노드와의 안전한 통신이 확립되고 식별 인증될 수 있도록 한 보안 프로토콜의 자동 협상 시스템 및 방법이 제공된다. 본 발명의 일 태양에 따르면, 보안-인에이블된 도메인 내의 네트워크 매니저 또는 기타 에이전트 또는 노드가 익스터널 에이전트 또는 노드와의 안전한 접속을 확립하기 위한 시도를 개시할 수 있다. 상기한 요청은 상기한 매니저가 이용가능한 한 세트의 보안 프로토콜을 나타내는 데이터 필드를 포함하고 있다. 익스터널 에이전트는 상기한 요청을 수신하고 상기한 인터널 에이전트 또는 매니저가 이용가능한 프로토콜을 상기한 익스터널 에이전트에 의해 지원되는 한 세트의 프로토콜과 비교한다. 이용가능한 프로토콜들 사이에 매칭이 발견되면, 선택된 프로토콜에 기초하여 통신이 진행되게 된다. 본 실시예에서, 상기한 각각의 익스터널 에이전트 및 인터널 에이전트는 키, 인증서 또는 기타 인증 메커니즘을 통해 서로 인증할 수 있다.SUMMARY OF THE INVENTION The present invention solves the problems of the prior art described above, and according to one aspect provides a secure communication with an external agent or node that can be established and authenticated in an automated manner without requiring administrator intervention. An autonegotiation system and method of a security protocol are provided. In accordance with one aspect of the present invention, a network manager or other agent or node in a security-enabled domain may initiate an attempt to establish a secure connection with an external agent or node. The request includes a data field indicating the set of security protocols available to the manager. The external agent receives the request and compares the protocol available to the internal agent or manager with a set of protocols supported by the external agent. If a match is found between the available protocols, then communication proceeds based on the selected protocol. In this embodiment, each of the external agent and the internal agent can authenticate each other through a key, certificate, or other authentication mechanism.

<실시예><Example>

도 1은 본 발명의 실시예에 따른 프로토콜 협상 플랫폼 및 방법이 수행될 수 있는 네트워크 구조를 예시한 것이다. 도시된 바와 같이, 예시된 실시예에서는, 한 세트의 클라이언트, 서버, 에이전트 또는 기타 노드 또는 머신들이 보안-인에이블된 도메인(102)에서 동작한다. 보안-인에이블된 도메인은 본 실시예에서는 예를 들어, Microsoft Windows™ Active Directory™, 커베로스(Kerberos) 또는 기타 인증서-기반 또는 키-기반 도메인, 또는 기타 폐쇄 또는 안전 분산 디렉토리 또는 기타 환경이거나 또는 이들을 포함할 수 있다. 상기한 보안-인에이블된 도메인 내에는 예시를 위해 인터널 매니저(104)가 존재하며, 이것은 본 실시예에서 한 세트의 인터널 에이전트(106)(A1, A2, ..., AN으로 도시됨; N은 임의의 수) 뿐만 아니라 서버 또는 기타 노드이거나 이들을 포함할 수 있다.1 illustrates a network structure in which a protocol negotiation platform and method according to an embodiment of the present invention may be performed. As shown, in the illustrated embodiment, a set of clients, servers, agents, or other nodes or machines operate in a security-enabled domain 102. The security-enabled domain is, for example, Microsoft Windows ™ Active Directory ™, Kerberos or other certificate-based or key-based domain, or other closed or secure distributed directory or other environment in this embodiment, or These may be included. Within the security-enabled domain described above is an internal manager 104 for illustration, which is shown in this embodiment as a set of internal agents 106 (A1, A2, ..., AN). N may be any number) as well as a server or other node or include them.

본 실시예에서 상기한 세트의 인터널 에이전트(106)는 추가의 서버, 워크스테이션 또는 기타 클라이언트, 또는 상기한 보안-인에이블된 도메인(102) 내에서 동작하며 상기한 인터널 매니저(104)와 통신하는 기타 인터널 에이전트 또는 노드로 구성되거나 이들을 포함할 수 있다. 본 실시예에서 상기한 인터널 매니저(104)는 상기한 세트의 인터널 에이전트(106)에 대하여 전송 또는 "푸싱" 네트워크 규칙 또는 기타 데이터와 같은 네트워크 관리 기능을 스케줄링 또는 수행하며, 상기한 기타 데이터로는 스토리지(예컨대, RAID 정책, 장애(failover) 평가기준, 메모리 한계), 대역폭 이용에 관한 동작 가이드라인 또는 기타의 규칙 또는 데이터가 있다. 이들 또는 기타 타입의 데이터를 통신하는 경우, 상기한 인터널 매니저(104) 및 상기한 세트의 인터널 에이전트(106)는 보안-인에이블된 도메인의 보안 자원을 이용하여 네트워크의 완전성(integrity) 및 규칙 및 기타 데이터의 배포를 담보한다.The set of internal agents 106 in this embodiment operates within an additional server, workstation or other client, or the security-enabled domain 102 described above and with the internal manager 104 described above. It may consist of or include other internal agents or nodes that communicate. In this embodiment, the internal manager 104 schedules or performs network management functions such as forwarding or "pushing" network rules or other data for the set of internal agents 106, and the other data described above. The furnace may be storage (eg, RAID policy, failover criteria, memory limit), operational guidelines regarding bandwidth usage, or other rules or data. When communicating these or other types of data, the internal manager 104 and the set of internal agents 106 utilize the security resources of the security-enabled domain to ensure the integrity and integrity of the network. Ensure distribution of rules and other data.

본 실시예에서는 상기한 보안-인에이블된 도메인(102)은 예컨대 인증서 108과 같은 인증서를 이용하여 허가 서비스를 제공할 수 있으며, 상기한 인증서는 X.509 또는 기타 표준 또는 포맷에 따라서 구성된 인증서이거나 또는 이를 포함할 수 있다. 키 또는 기타의 메커니즘이 마찬가지로 사용될 수도 있다. 도시된 바와같이, 인증서(108)는 인터널 매니저(104)에 대한 허가 데이터와 연관되어 있거나 또는 이를 제공할 수도 있다. 상기한 세트의 인터널 에이전트(106) 중 어느 하나는 인증서(108)를 검증(verification)을 위해 인증서 기관(110)에 통신함으로써 인터널 매니저(104)로부터 수신한 규칙, 명령 또는 기타 데이터를 허가할 수 있다. 인증서 기관(110)은 그 자신이 보안-인에이블된 도메인(102)의 내부에 위치하거나 또는 도시된 바와 같이 상기한 보안-인에이블된 도메인(102)의 외측에 위치할 수도 있다.In this embodiment, the security-enabled domain 102 may provide an authorization service using a certificate such as, for example, certificate 108, which certificate may be a certificate configured according to X.509 or other standard or format. Or it may include the same. Keys or other mechanisms may likewise be used. As shown, the certificate 108 may be associated with or provide authorization data for the internal manager 104. Any one of the above set of internal agents 106 permits a rule, command or other data received from the internal manager 104 by communicating the certificate 108 to the certificate authority 110 for verification. can do. Certificate authority 110 may itself be located inside security-enabled domain 102 or outside of security-enabled domain 102 described above.

본 실시예에서, 인증서 기관(110)은 인증서(108) 또는 기타 허가 메커니즘을 판독 및 복호하여 그 결과를 상기한 세트의 인터널 에이전트(106) 또는 다른 노드들에 대해 리턴하도록 구성된 서버 또는 기타 노드이거나 또는 이들을 포함할 수 있다. 상기한 세트의 인터널 에이전트(106) 내의 각 노드들은 마찬가지로 상기한 보안-인에이블된 도메인(102)과 호환되는 인증서, 키 또는 기타 허가 데이터와 연관되어 있을 수 있다. 상기한 인터널 에이전트(106) 내의 노드들은 마찬가지로 인증서 또는 기타 메커니즘을 이용하여 서로 통신하여 상호 허가할 수도 있다.In this embodiment, the certificate authority 110 is configured to read and decrypt the certificate 108 or other authorization mechanisms and return the results to the above set of internal agents 106 or other nodes. Or may include them. Each node in the set of internal agents 106 may likewise be associated with a certificate, key or other authorization data that is compatible with the security-enabled domain 102 described above. The nodes in the internal agent 106 described above may likewise communicate with each other using certificates or other mechanisms to permit each other.

도 1에 도시된 실시예에서, 익스터널 에이전트(114)는 마찬가지로 통신 네트워크(112)를 통해 인터널 매니저(104)와 통신하도록 구성될 수도 있다. 상기한 익스터널 에이전트(114)도 서버, 워크스테이션 또는 기타 노드 또는 자원이거나 또는 이들을 포함할 수 있다. 또한, 상기한 익스터널 에이전트(114)는 마찬가지로 허가를 위해 상기한 익스터널 에이전트(114)를 식별하는 인증서(116)와 연관되어 있을 수도 있다. 본 실시예에서, 익스터널 에이전트(114)가 인터널 매니저(104) 또는기타 인터널 노드와 통신을 수행할 수 있는 통신 네트워크(112)로는, 예를 들어 인터넷, 인트라넷, LAN, WAN, MAN(metropolitan area network), SAN, 프레임 릴레이 접속, AIN(Advanced Intelligent Network) 접속, SONET(synchronous optical network) 접속, 디지털 T1,T3,E1,E3 라인, DDS(Digital Data Service) 접속, ATM 접속, FDDI(Fiber Distributed Data Interface), CDDI(Copper Distributed Data Interface) 기타 유선, 무선 또는 광학 접속 중 어느 하나 이상이거나, 이들을 포함하거나 이들과 인터페이스할 수 있다. 익스터널 에이전트(114)는 본 실시예에서 워크스테이션, 서버, 무선 네트워크-인에이블된 장치, 또는 네트워크 통신용으로 구성된 기타 노드, 에이전트 또는 플랫폼이거나 또는 이들을 포함할 수 있다.In the embodiment shown in FIG. 1, the external agent 114 may likewise be configured to communicate with the internal manager 104 via the communication network 112. The external agent 114 may also be or include a server, workstation or other node or resource. In addition, the external agent 114 may likewise be associated with a certificate 116 that identifies the external agent 114 for authorization. In the present embodiment, as the communication network 112 in which the external agent 114 can communicate with the internal manager 104 or other internal nodes, for example, the Internet, intranet, LAN, WAN, MAN ( metropolitan area network (SAN), frame relay connection, Advanced Intelligent Network (AIN) connection, synchronous optical network (SONET) connection, digital T1, T3, E1, E3 line, DDS (Digital Data Service) connection, ATM connection, FDDI ( Fiber Distributed Data Interface (CDI), Copper Distributed Data Interface (CDI) or any other wired, wireless or optical connection, or may include or interface with them. The external agent 114 may be or include a workstation, server, wireless network-enabled device, or other node, agent, or platform configured for network communication in this embodiment.

종래의 크로스-도메인 통신 구현과 달리, 본 발명에 따르면 상기한 익스터널 에이전트(114)는 인터널 매니저(104)와 컨택을 개시하여 상호 호환되는 프로토콜에 기초하여 자동 또는 투명한 방식으로 호환 프로토콜을 서로 선택함으로써 안전 접속을 확립할 수 있다. 도 2에 예시된 바와 같이, 익스터널 에이전트(114)에서 실행되는 익스터널 애플리케이션(130)은 익스터널 협상 엔진(126)을 통해 인터널 매니저와 컨택을 개시할 수 있다. 익스터널 애플리케이션(130)은 데이터 백업 스케줄러, 방화벽, 바이러스 보호 또는 기타 애플리케이션 등과 같은 시스템 유틸리티, 생산성(productivity) 또는 기타 애플리케이션이거나 이들을 포함할 수 있다. 익스터널 애플리케이션(130)은 예를 들어 각종의 태스크를 수행하여 인터널 매니저(104)와 상기한 통신을 수행하기 위한 사용자 프로파일, 업데이트 또는 기타 데이터를 필요로 할 수 있다.Unlike conventional cross-domain communication implementations, according to the present invention, the external agent 114 initiates a contact with the internal manager 104 to exchange compatible protocols with each other in an automatic or transparent manner based on mutually compatible protocols. By selecting, a secure connection can be established. As illustrated in FIG. 2, the external application 130 running on the external agent 114 may initiate a contact with the internal manager through the external negotiation engine 126. The external application 130 may be or include a system utility, productivity, or other application such as a data backup scheduler, firewall, virus protection or other application. The external application 130 may require, for example, a user profile, update, or other data for performing the above-described communication with the internal manager 104 by performing various tasks.

익스터널 협상 엔진(126)은 익스터널 애플리케이션(130)에 의해 요청된 통신을 처리 및 관리하여 상기한 인터널 매니저(104)에 대한 상호 호환가능한 통신 링크를 보안-인에이블된 도메인(102)에 확립할 수 있다. 본 실시예에서는 도시된 바와 같이 상기한 익스터널 협상 엔진(126)은 협상 모듈(1180을 개시 및 관리할 수 있으며, 이것은 공지된 SPNEGO(Simple and Protected GSS-API Negotiation) 프로토콜의 구현예이다. 다른 프로토콜이 사용될 수도 있다. 본 실시예에서, 상기한 협상 모듈(118)은 익스터널 에이전트(114)의 오퍼레이팅 시스템인 예를 들어 애플리케이션 프로그램 인터페이스(API) 또는 기타 메커니즘을 통해 액세스, 개시 또는 발생될 수 있다.The external negotiation engine 126 processes and manages the communication requested by the external application 130 to transfer the interoperable communication link for the internal manager 104 to the security-enabled domain 102. It can be established. In the present embodiment, as shown, the external negotiation engine 126 may initiate and manage the negotiation module 1180, which is an implementation of the known Simple and Protected GSS-API Negotiation (SPNEGO) protocol. Protocols may also be used In this embodiment, the negotiation module 118 described above may be accessed, initiated, or generated via an operating system of the external agent 114, for example, via an application program interface (API) or other mechanism. have.

익스터널 협상 엔진(126)은 마찬가지로 프로토콜 협상 프로세스를 실행하기 위해 익스터널 에이전트(114)에 의해 채용될 수 있는 기타 채널 또는 메시지-기반 채널을 지시하는 익스터널 트랜스포트 지정자(120)(specifier)를 포함 또는 발생시킬 수 있다. 예를 들어, 본 실시예에서 익스터널 트랜스포트 지정자(120)는 Microsoft .NET 아키텍처의 일부분으로서 SSPI(Security Support Provider Interface) 프로토콜을 지정하여, 익스터널 애플리케이션(130) 또는 기타 소프트웨어 또는 모듈들이 예컨대 DLL(dynamic link libraries) 또는 표준 암호(cryptographic) 또는 기타 인코딩 방식을 지원하는 기타 자원에 액세스할 수 있도록 할 수 있다. 익스터널 트랜스포트 지정자(120) 내에 다른 프로토콜이 사용 또는 지정될 수도 있다. 익스터널 협상 엔진(126)은 도 2에 도시된 바와 같이 결과적으로 상기한 데이터 또는 기타 데이터를 지시하는 데이터그램(datagram)을 인터널 매니저(104)에 접속된 인터널 협상 엔진(128)에 통신할 수 있다.The external negotiation engine 126 likewise uses an external transport specifier 120 to indicate other channels or message-based channels that may be employed by the external agent 114 to execute the protocol negotiation process. It can be included or generated. For example, in this embodiment, the external transport specifier 120 specifies the Security Support Provider Interface (SSPI) protocol as part of the Microsoft .NET architecture, such that the external application 130 or other software or modules may be, for example, a DLL. (dynamic link libraries) or other resources that support standard cryptographic or other encoding schemes. Other protocols may be used or specified within the external transport specifier 120. The external negotiation engine 126 consequently communicates a datagram indicating the data or other data to the internal negotiation engine 128 connected to the internal manager 104 as shown in FIG. can do.

인터널 협상 엔진(128)은 마찬가지로 협상 모듈(122) 및 인터널 트랜스포트 지정자(124)를 포함하거나 또는 이들을 인터페이스할 수 있다. 인터널 협상 엔진(128)은 또한 인터널 매니저(104)에서 실행되거나 또는 인터널 매니저(104)에 의해 액세스된 인터널 애플리케이션(132)과 통신할 수 있다. 예를 들어, 인터널 애플리케이션(132)은 시스템 관리, 생산성 또는 기타 애플리케이션이거나 또는 이를 포함할 수 있다. 상기한 인터널 협상 엔진(128)은 인터널 매니저(104)와의 통신 확립 요청을 수신하면, 예를 들어 상기한 SSPI 프로토콜을 이용하여 채널 통신을 확인(confirm)함으로써 인터널 트랜스포트 지정자(124)를 통해 익스터널 에이전트(114)와 메시지-기반 또는 기타 채널을 확립할 수 있다.The internal negotiation engine 128 may likewise include or interface the negotiation module 122 and the internal transport specifier 124. The internal negotiation engine 128 may also communicate with the internal application 132 executed in or accessed by the internal manager 104. For example, internal application 132 may be or include system management, productivity, or other application. When the internal negotiation engine 128 receives a communication establishment request with the internal manager 104, the internal transport designator 124 confirms channel communication using the SSPI protocol, for example. It is possible to establish a message-based or other channel with the external agent 114.

익스터널 에이전트(114)와 인터널 매니저104) 사이에 예비(preliminary) 채널이 확립된 상태에서, 상기한 익스터널 협상 엔진(126) 및 익스터널 협상 엔진(128)은 프로토콜 협상 및 감축(reduction)을 개시할 수 있다. 본 실시예에서, 익스터널 에이전트(114)는 도 3에 도시된 익스터널 프로토콜 테이블(134)을 익스터널 매니저(104)에 전송한다. 상기한 익스터널 프로토콜 테이블(134)은 익스터널 에이전트(114)가 구성된 프로토콜을 지정할 수 있다. 상기한 인터널 매니저(104)가 익스터널 프로토콜 테이블(134)을 수신하면, 상기한 테이블(134)은 인터널 매니저(104)에서 이용가능한 한 세트의 보안 프로토콜을 나타내는 인터널 프로토콜 테이블(136)과 비교된다. 상기한 익스터널 프로토콜 테이블(134)과 인터널 프로토콜 테이블(136) 중 어느 하나는 예를 들어 TLS(transport layersecurity), SSL(secure socket layer), 커베로스(Kerberos), IPSec(secure IP) 또는 기타 이용가능한 프로토콜 또는 표준을 나타내는 필드를 포함하고 있다. 상기한 인터널 매니저(104)에 접속된 협상 엔진(128)은 도 3에 도시된 바와 같이 익스터널 에이전트(114) 및 인터널 매니저(104)에 의해 상호 지원되는 하나 이상의 프로토콜을 식별하게 된다.With a preliminary channel established between the external agent 114 and the internal manager 104, the external negotiation engine 126 and the external negotiation engine 128 are protocol negotiation and reduction. May be initiated. In this embodiment, the external agent 114 transmits the external protocol table 134 shown in FIG. 3 to the external manager 104. The external protocol table 134 may specify a protocol in which the external agent 114 is configured. When the internal manager 104 receives the external protocol table 134, the table 134 indicates an internal protocol table 136 representing a set of security protocols available to the internal manager 104. Is compared with Any one of the above-described external protocol table 134 and internal protocol table 136 may be, for example, transport layer security (TLS), secure socket layer (SSL), Kerberos, secure IP (IPSec) or the like. It contains fields that indicate the protocols or standards available. The negotiation engine 128 connected to the internal manager 104 identifies one or more protocols supported by the external agent 114 and the internal manager 104 as shown in FIG.

본 실시예에서, 협상 엔진(128)은 마찬가지로 프로토콜 비교를 위해 익스터널 에이전트(114)에 접속된 협상 엔진(126)에 인터널 프로토콜 테이블(136)을 통신한다. 협상 엔진(126) 및 협상 엔진(128)은 그 결과 보안-인에이블된 도메인에서 안전 통신을 확립하기 위하여 서로 이용가능한 프로토콜의 선택을 협상한다. 예를 들어, 익스터널 에이전트(114)와 인터널 매니저(104) 양방에 단지 하나의 공통 프로토콜이 이용가능하다면, 익스터널 에이전트(114) 및 인터널 매니저(104)는 TLS 또는 기타 프로토콜 등 해당 프로토콜을 이용하여 세션을 셋업하는데 합의할 것이다. 협상 엔진(126) 및 협상 엔진(128)이 공통 프로토콜이 발견되지 않을 것이라는데 합의한다면, 크로스-도메인 통신을 확립하기 위한 시도는 종료될 것이다. 반대로, 협상 엔진(126) 및 협상 엔진(128)이 다수의 프로토콜이 공통인 것을 확인한다면, 전송(transfer) 속도, 키의 비트 깊이(depth) 또는 기타 보안 메커니즘 등의 네트워크 평가기준 또는 기타의 팩터에 기초하여 사용할 하나의 프로토콜을 선택할 것이다.In this embodiment, the negotiation engine 128 likewise communicates the internal protocol table 136 to the negotiation engine 126 connected to the external agent 114 for protocol comparison. Negotiation engine 126 and negotiation engine 128 as a result negotiate a selection of protocols available to each other to establish secure communication in the security-enabled domain. For example, if only one common protocol is available for both the external agent 114 and the internal manager 104, then the external agent 114 and the internal manager 104 may use the corresponding protocol, such as TLS or other protocols. You will agree to set up the session using. If the negotiation engine 126 and the negotiation engine 128 agree that no common protocol will be found, then the attempt to establish cross-domain communication will end. Conversely, if the negotiation engine 126 and the negotiation engine 128 confirm that multiple protocols are common, network criteria or other factors such as transfer speed, bit depth of key or other security mechanisms, etc. You will select one protocol to use based on.

상호 호환되는 프로토콜을 위치시켜 두면, 익스터널 에이전트(114)와 인터널 매니저(104) 사이에는 안전 세션이 확립될 것이다. 본 실시예에서는 보안을 강화하기 위하여 익스터널 에이전트(114) 및 인터널 매니저(104)는 각각 마찬가지로 인증(authentication) 단계를 수행하여 상대방 노드의 ID, 특권(privilege) 레벨 또는 기타 보안 상세를 검증(verify)할 것이다. 도 1에 도시된 바와 같이, 이것은 인증서 또는 기타 보안 메커니즘을 이용하여 수행될 수 있다. 익스터널 에이전트(114)는 인증서(108)를 인증서 기관(110)에 통신함으로써 인터널 매니저(104)를 인증할 수 있다. 반대로, 인터널 매니저(104)는 인증서(116)를 인증서 기관(110)에 통신함으로써 익스터널 에이전트(114)를 인증할 수 있다. 기타의 보안 메커니즘이 이용될 수도 있다.By placing compatible protocols, a secure session will be established between the external agent 114 and the internal manager 104. In this embodiment, in order to enhance security, the external agent 114 and the internal manager 104 each perform an authentication step similarly to verify the identity, privilege level, or other security details of the other node. will verify. As shown in FIG. 1, this may be done using a certificate or other security mechanism. The external agent 114 may authenticate the internal manager 104 by communicating the certificate 108 to the certificate authority 110. In contrast, the internal manager 104 may authenticate the external agent 114 by communicating the certificate 116 to the certificate authority 110. Other security mechanisms may be used.

본 실시예에서, 상기한 익스터널 에이전트(114)와 인터널 매니저(104) 사이에 교환되는 데이터의 타입 또는 콘텐트는 이들 2개 노드 사이의 상호 인증에 종속할 것이다. 예를 들어, 네트워크 관리 규칙 또는 파라미터에의 액세스는 인터널 노드 또는 익스터널 노드에 대해 예비되어 있고 단지 주어진 액세스의 특권 레벨만을 지시할 수도 있다. 기타의 인증 규칙 또는 평가기준이 이용될 수도 있다. 동작상의 보안 프로토콜이 확립되고 인증 처리가 완료된 후, 상기한 익스터널 에이전트(114)와 인터널 매니저(104)는 데이터, 애플리케이션, 규칙 또는 기타 정보를 교환하게 된다. 트래픽이 완료되면, 협상 엔진(126) 및 협상 엔진(128)은 상기한 통신 링크를 해제(release) 또는 종료(terminate)한다.In this embodiment, the type or content of data exchanged between the external agent 114 and the internal manager 104 will depend on mutual authentication between these two nodes. For example, access to network management rules or parameters may be reserved for internal nodes or external nodes and may only indicate the privilege level of a given access. Other certification rules or criteria may be used. After the operational security protocol is established and the authentication process is completed, the external agent 114 and the internal manager 104 exchange data, applications, rules or other information. Once the traffic is complete, the negotiation engine 126 and negotiation engine 128 release or terminate the communication link described above.

도 4는 본 발명의 실시예에 따른 전반적인 네트워크 협상 프로세싱을 예시하고 있다. 단계 402에서 프로세싱이 개시된다. 단계 404에서, 익스터널 에이전트(114), 인터널 매니저(104) 또는 기타 클라이언트, 에이전트 또는 노드에의해 보안-인에이블된 네트워크(102)에서의 안전 접속 확립을 위한 요청이 생성된다. 단계 406에서, 상기 안전 접속 확립 요청이 수신측 노드에 전송되며, 여기서 수신측 노드는 인터널 매니저(104), 익스터널 에이전트(114) 또는 기타의 클라이언트, 에이전트 또는 노드일 수 있으며, 상기한 요청은 전송측 노드와 호환되는 제1 프로토콜 세트를 포함하고 있다. 단계 408에서, 상기 요청이 수신측 노드에 수신된다. 단계 410에서, 인터널 매니저(104), 익스터널 에이전트(114) 또는 기타의 클라이언트, 에이전트 또는 노드일 수 있는 수신측 노드가 상기 제1 프로토콜 세트를 상기 수신측 노드의 제2 프로토콜 세트와 비교하여, 이용가능한 프로토콜들 중에서 매칭 여부를 판정한다.4 illustrates overall network negotiation processing in accordance with an embodiment of the present invention. Processing begins at step 402. In step 404, a request is made for establishing a secure connection in the security-enabled network 102 by the external agent 114, the internal manager 104, or other client, agent, or node. In step 406, the secure connection establishment request is sent to a receiving node, where the receiving node may be an internal manager 104, an external agent 114 or other client, agent or node, and the request Contains a first set of protocols that are compatible with the transmitting node. In step 408, the request is received at the receiving node. In step 410, a receiving node, which may be an internal manager 104, an external agent 114, or other client, agent or node, compares the first protocol set with a second protocol set of the receiving node. It determines whether there is a match among the available protocols.

상기한 제1 프로토콜 세트와 제2 프로토콜 세트 사이에 매칭이 발견되면, 상기한 프로세싱은 단계 412로 진행하여, 하나 이상의 매칭 프로토콜이 발견되었는지를 판정한다. 하나 이상의 매칭 프로토콜이 발견되었다면, 단계 414로 프로세싱을 진행하여, 전송 속도, 키의 비트 깊이 또는 기타 보안 메커니즘 등의 프로토콜 평가기준 또는 기타의 팩터에 기초하여 매칭 프로토콜들 중에서 사용할 하나의 프로토콜을 선택한다. 그런 다음, 단계 416으로 프로세싱을 진행하여, 선택된 프로토콜에 기초하여 익스터널 에이전트(114)와 인터널 매니저(104) 사이에 안전 접속 또는 세션이 개시된다. 마찬가지로, 단계 412에서 단지 하나의 매칭 프로토콜이 발견된 경우에도, 단계 416으로 프로세싱을 진행하여, 안전 접속 또는 세션이 개시될 수 있다. 예를 들어, 본 실시예에서 지정된 포트들은 상기한 TCP/IP 또는 기타 통신 또는 기타 프로토콜 아래에서 개방될 것이다.If a match is found between the first protocol set and the second protocol set, the processing proceeds to step 412 to determine whether one or more matching protocols are found. If more than one matching protocol is found, processing proceeds to step 414 to select one of the matching protocols to use based on protocol criteria or other factors such as transmission speed, bit depth of key or other security mechanism. . Processing then proceeds to step 416 where a secure connection or session is initiated between the external agent 114 and the internal manager 104 based on the selected protocol. Similarly, even if only one matching protocol is found in step 412, processing proceeds to step 416 where a secure connection or session can be initiated. For example, the ports designated in this embodiment will be open under TCP / IP or other communications or other protocols described above.

단계 418에서, 상기한 매칭 프로토콜에 따라 핸드쉐이크 및 기타 단계를 진행함으로써 상기한 익스터널 에이전트(114)와 인터널 매니저(104) 사이에 프로토콜-특정 교환이 개시되게 된다. 단계 420에서, 상기한 익스터널 에이전트(114)와 인터널 매니저(104) 중 어느 하나 또는 양방은 [상기한 익스터널 에이전트(114)의] 대응하는 인증서(116) 또는 [상기한 인터널 매니저(104)의] 대응하는 인증서(108)를 인증서 기관(110)에 절절하게 전송함으로써 대응하는 상대방 노드를 인증할 수 있다. 본 실시예에서, 상기한 인증서 116 또는 인증서 108 또는 기타 보안 데이터는 X.509 표준 또는 기타 표준 또는 포맷에 합치하는 인증서 오브젝트이거나 이들을 포함할 수 있다. 적절한 인증이 완료되면, 단계 422로 프로세싱을 진행하여, 상기한 익스터널 에이전트(114)와 인터널 매니저(104) 사이에 안전 접속 또는 세션을 수행하게 된다. 예를 들어, 이들 2개 노드 사이에서 시스템 관리 또는 기타의 목적으로 네트워크 또는 기타 규칙이 통신될 수도 있다.In step 418, a protocol-specific exchange is initiated between the external agent 114 and the internal manager 104 by performing a handshake and other steps in accordance with the matching protocol described above. In step 420, either or both of the above-described external agent 114 and the internal manager 104 may have a corresponding certificate 116 (of the above-described external agent 114) or the above-described internal manager ( 104) The corresponding counterpart 108 can be properly sent to the certificate authority 110 to authenticate the corresponding counterpart node. In this embodiment, the certificate 116 or certificate 108 or other secure data described above may be or include a certificate object conforming to the X.509 standard or other standard or format. When proper authentication is completed, processing proceeds to step 422 to establish a secure connection or session between the external agent 114 and the internal manager 104. For example, a network or other rule may be communicated between these two nodes for system management or other purposes.

안전 세션이 완료되면 단계 424로 프로세싱을 진행하여, 상기한 익스터널 에이전트(114)와 인터널 매니저(104) 사이의 안전 접속을 종료 또는 해제한다. 단계 426에서, 프로세싱이 종료되거나 반복 수행되어, 선행 프로세싱 포인트로 리턴하거나 또는 다른 액션을 수행할 수도 있다. 마찬가지로, 단계 410에서 매칭 프로토콜이 확인되지 않은 것으로 판정된 경우, 단계 426으로 진행하여 프로세싱을 종료하거나 반복 수행하거나 또는 선행 프로세싱 포인트로 리턴하거나 또는 다른 액션을 수행할 수도 있다.When the secure session is completed, processing proceeds to step 424 to terminate or release the secure connection between the external agent 114 and the internal manager 104. At step 426, processing may end or be repeated to return to a previous processing point or to perform another action. Similarly, if it is determined in step 410 that no matching protocol is identified, the process may proceed to step 426 to terminate or repeat processing, return to a previous processing point, or perform other actions.

전술한 설명은 예시를 위한 것일 뿐이며 본 기술분야의 전문가라면 구성 및구현시 각종의 수정이 가능할 것이다. 예를 들어, 본 발명을 하나의 익스터널 에이전트(114)와 관련하여 설명하였지만, 복수의 익스터널 에이전트 또는 노드가 보안-인에이블된 도메인(102) 내의 인터널 매니저(104) 또는 기타 클라이언트 또는 노드와의 매칭 프로토콜 협상을 자동적으로 수행하도록 구성할 수도 있다. 마찬가지로, 인증 메커니즘에 있어서도 상기한 메커니즘이 X.509 또는 기타 표준을 이용하여 하나의 인증 엔티티(110)에 의해 지원되고 있는 것으로 설명하였지만, 다수의 인증 엔티티 또는 기타 인증 또는 허가 플랫폼이 채용될 수도 있다. 그밖에도, 하드웨어, 소프트웨어 또는 기타 자원들을 하나만 도시/설명하였지만 이들이 분산되어 있을 수도 있으며, 마찬가지로 분산되어 있는 것으로 도시/설명된 자원들이 결합되어 있을 수도 있다.The above description is for illustrative purposes only, and various modifications may be made to construction and implementation by those skilled in the art. For example, while the present invention has been described in connection with one external agent 114, the internal manager 104 or other client or node in the domain 102 where multiple external agents or nodes are secure-enabled. It may also be configured to automatically perform matching protocol negotiation with the. Similarly, although the mechanism described above is supported by one authentication entity 110 using X.509 or other standards, multiple authentication entities or other authentication or authorization platforms may be employed. . In addition, although only one hardware, software, or other resource is shown / described, they may be distributed, or similarly, the illustrated / described resources may be combined as being distributed.

또한, 보안-인에이블된 도메인(102)에 대해 익스터널인 일방 또는 타방의 노드 또는 에이전트와, 상기한 도메인에 대해 인터널인 노드 또는 에이전트가 보안 프로토콜의 협상을 개시하는 것으로 설명하였지만, 본 발명에 따라 구성된 임의의 노드 또는 에이전트는 상기한 도메인에 대해 익스터널 또는 인터널인지에 무관하게 프로토콜 프로세싱을 개시할 수 있다. 마찬가지로, 인터널 및 익스터널 에이전트의 어느 일방 또는 양방이 상대방 에이전트 또는 노드에 대한 인증을 개시할 수도 있다. 따라서, 본 발명의 범위는 특허청구범위에 의해서만 제한되는 것으로 이해되어야 한다.In addition, although one or the other node or agent that is external to the security-enabled domain 102 and the node or agent that is internal to the domain have been described as initiating negotiation of the security protocol, the present invention has been described. Any node or agent configured according to may initiate protocol processing regardless of whether it is external or internal to the domain. Similarly, either or both of the internal and external agents may initiate authentication for the other agent or node. Therefore, it is to be understood that the scope of the present invention is limited only by the claims.

전술한 바와 같이, 본 발명의 보안 프로토콜의 자동 협상 시스템 및 방법에따르면, 관리자의 개입을 필요로 하지 않고 자동화된 방식으로 익스터널 에이전트 또는 노드와의 안전한 통신 확립 및 인증이 가능하게 된다.As described above, according to the automatic negotiation system and method of the security protocol of the present invention, it is possible to establish and authenticate secure communication with an external agent or a node in an automated manner without requiring administrator intervention.

Claims (62)

보안 프로토콜(security protocol)의 자동 협상(negotiate) 방법에 있어서,In the automatic negotiation (negotiate) method of the security protocol (security protocol), 인터널 노드와 익스터널 노드 사이의 안전 접속을 확립하기 위한 보안 허가 요청(authorization request)을 수신 - 상기 인터널 노드는 보안-인에이블된 도메인에 대해 인터널이며, 상기 익스터널 노드는 상기 보안-인에이블된 도메인에 대해 익스터널임 - 하는 단계;Receive a security authorization request to establish a secure connection between an internal node and an external node, wherein the internal node is internal to a security-enabled domain, and the external node is the security- Is external to an enabled domain; 상기 인터널 노드에 연관된 제1 프로토콜 세트와 상기 익스터널 노드에 연관된 제2 프로토콜 세트를 비교하는 단계; 및Comparing a first protocol set associated with the internal node with a second protocol set associated with the external node; And 상기 제1 프로토콜 세트와 상기 제2 프로토콜 세트 사이의 매칭 프로토콜이 발견된 때에 상기 인터널 노드와 상기 익스터널 노드 사이의 안전 접속을 확립하는 단계Establishing a secure connection between the internal node and the external node when a matching protocol is found between the first protocol set and the second protocol set. 를 포함하는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.Security protocol auto-negotiation method comprising a. 제1항에 있어서,The method of claim 1, 상기 익스터널 노드는 컴퓨터 및 네트워크-인에이블된 무선 디바이스 중 적어도 하나를 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.And wherein the external node comprises at least one of a computer and a network-enabled wireless device. 제1항에 있어서,The method of claim 1, 상기 인터널 노드는 클라이언트 컴퓨터 및 서버 중 적어도 하나를 구비하는것을 특징으로 하는 보안 프로토콜 자동 협상 방법.And wherein the internal node comprises at least one of a client computer and a server. 제1항에 있어서,The method of claim 1, 상기 보안-인에이블된 도메인은 분산(distributed) 디렉토리 도메인을 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.And wherein the security-enabled domain comprises a distributed directory domain. 제1항에 있어서,The method of claim 1, 상기 보안-인에이블된 도메인은 인증서-기반(certificate-based) 도메인을 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.And wherein said security-enabled domain comprises a certificate-based domain. 제5항에 있어서,The method of claim 5, 상기 인증서-기반 도메인은 커베로스(Kerberos)-인에이블된 도메인을 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.And wherein the certificate-based domain includes a Kerberos-enabled domain. 제6항에 있어서,The method of claim 6, 상기 매칭 프로토콜은 X.509 인증서를 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.And the matching protocol includes an X.509 certificate. 제1항에 있어서,The method of claim 1, 상기 보안 허가 요청은 상기 익스터널 노드에 의해 발생되는 것을 특징으로하는 보안 프로토콜 자동 협상 방법.And wherein the security permission request is generated by the external node. 제8항에 있어서,The method of claim 8, 상기 보안 허가 요청을 수신하는 단계는 상기 인터널 노드에 의해 실행되는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.And receiving the security permission request is executed by the internal node. 제1항에 있어서,The method of claim 1, 상기 보안 허가 요청은 상기 인터널 노드에 의해 발생되는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.And the security permission request is generated by the internal node. 제10항에 있어서,The method of claim 10, 상기 보안 허가 요청을 수신하는 단계는 상기 익스터널 노드에 의해 실행되는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.Receiving the security permission request is executed by the external node. 제1항에 있어서,The method of claim 1, 상기 익스터널 노드와 상기 인터널 노드 사이의 세션이 완료된 경우 상기 안전 접속을 종료(terminate)하는 단계를 더 포함하는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.Terminating the secure connection when the session between the external node and the internal node is completed. 제1항에 있어서,The method of claim 1, 상기 제1 프로토콜 세트와 상기 제2 프로토콜 세트 사이에 매칭이 발견되지 않은 경우 접속 프로세싱을 종료하는 단계를 더 포함하는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.And terminating connection processing if no match is found between the first protocol set and the second protocol set. 제1항에 있어서,The method of claim 1, 복수의 매칭 프로토콜이 발견된 경우 상기 안전 접속을 확립하는데 사용하기 위한 프로토콜을 선택하는 단계를 더 포함하는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.Selecting a protocol to use for establishing the secure connection when a plurality of matching protocols are found. 제1항에 있어서,The method of claim 1, 상기 인터널 노드 및 상기 익스터널 노드 중 적어도 하나를 허가하는 단계를 더 포함하는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.And authorizing at least one of the internal node and the external node. 제15항에 있어서,The method of claim 15, 상기 허가 단계는 인증서를 인증서 기관(certificate authority)에 통신하는 단계를 포함하는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.The authorization step includes the step of communicating the certificate to a certificate authority (certificate authority). 보안 프로토콜(security protocol)의 자동 협상(negotiate) 시스템에 있어서,In the automatic negotiation system of the security protocol (security protocol), 보안-인에이블된 도메인에 대해 인터널이며 연관된 제1 프로토콜 세트를 갖는 인터널 프로토콜에 대한 제1 인터페이스;A first interface to an internal protocol that is internal to the security-enabled domain and has an associated first protocol set; 보안-인에이블된 도메인에 대해 익스터널이며 연관된 제2 프로토콜 세트를 갖는 익스터널 프로토콜에 대한 제2 인터페이스; 및A second interface to an external protocol that is external to the security-enabled domain and has an associated second protocol set; And 상기 인터널 노드와 상기 익스터널 노드 사이의 안전 접속을 확립하기 위한 보안 허가 요청(authorization request)을 수신하고, 상기 인터널 노드에 연관된 제1 프로토콜 세트와 상기 익스터널 노드에 연관된 제2 프로토콜 세트를 비교하여, 상기 제1 프로토콜 세트와 상기 제2 프로토콜 세트 사이의 매칭 프로토콜이 발견된 때에 상기 인터널 노드와 상기 익스터널 노드 사이의 안전 접속을 확립하는 협상 엔진Receive a security authorization request to establish a secure connection between the internal node and the external node, and establish a first protocol set associated with the internal node and a second protocol set associated with the external node; In comparison, a negotiation engine that establishes a secure connection between the internal node and the external node when a matching protocol between the first protocol set and the second protocol set is found. 을 포함하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.Security protocol auto-negotiation system comprising a. 제17항에 있어서,The method of claim 17, 상기 익스터널 노드는 컴퓨터 및 네트워크-인에이블된 무선 디바이스 중 적어도 하나를 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.And wherein the external node comprises at least one of a computer and a network-enabled wireless device. 제17항에 있어서,The method of claim 17, 상기 인터널 노드는 클라이언트 컴퓨터 및 서버 중 적어도 하나를 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.And the internal node comprises at least one of a client computer and a server. 제17항에 있어서,The method of claim 17, 상기 보안-인에이블된 도메인은 분산(distributed) 디렉토리 도메인을 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.And wherein the security-enabled domain comprises a distributed directory domain. 제17항에 있어서,The method of claim 17, 상기 보안-인에이블된 도메인은 인증서-기반(certificate-based) 도메인을 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.And wherein said security-enabled domain comprises a certificate-based domain. 제21항에 있어서,The method of claim 21, 상기 인증서-기반 도메인은 커베로스(Kerberos)-인에이블된 도메인을 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.And wherein the certificate-based domain has a Kerberos-enabled domain. 제22항에 있어서,The method of claim 22, 상기 매칭 프로토콜은 X.509 인증서를 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.And the matching protocol comprises an X.509 certificate. 제17항에 있어서,The method of claim 17, 상기 보안 허가 요청은 상기 익스터널 노드에 의해 발생되는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.And the security permission request is generated by the external node. 제24항에 있어서,The method of claim 24, 상기 보안 허가 요청을 수신하는 단계는 상기 인터널 노드에 의해 실행되는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.And receiving the security permission request is executed by the internal node. 제17항에 있어서,The method of claim 17, 상기 보안 허가 요청은 상기 인터널 노드에 의해 발생되는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.And the security permission request is generated by the internal node. 제26항에 있어서,The method of claim 26, 상기 보안 허가 요청을 수신하는 단계는 상기 익스터널 노드에 의해 실행되는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.And receiving the security permission request is executed by the external node. 제17항에 있어서,The method of claim 17, 상기 협상 엔진은 상기 익스터널 노드와 상기 인터널 노드 사이의 세션이 완료된 경우 상기 안전 접속을 종료하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.And the negotiation engine terminates the secure connection when the session between the external node and the internal node is completed. 제17항에 있어서,The method of claim 17, 상기 협상 엔진은 상기 제1 프로토콜 세트와 상기 제2 프로토콜 세트 사이에 매칭이 발견되지 않은 경우 접속 프로세싱을 종료하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.And the negotiation engine terminates connection processing if no match is found between the first protocol set and the second protocol set. 제17항에 있어서,The method of claim 17, 상기 협상 엔진은 복수의 매칭 프로토콜이 발견된 경우 상기 안전 접속을 확립하는데 사용하기 위한 프로토콜을 선택하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.And the negotiation engine selects a protocol for use in establishing the secure connection when a plurality of matching protocols are found. 제17항에 있어서,The method of claim 17, 상기 인터널 노드 및 상기 익스터널 노드 중 적어도 일방은 다른 일방을 허가하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.And at least one of the internal node and the external node grants the other. 제31항에 있어서,The method of claim 31, wherein 상기 허가는 인증서를 인증서 기관(certificate authority)에 통신하는 단계를 포함하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.The authorization comprises communicating a certificate to a certificate authority. 보안 프로토콜(security protocol)의 자동 협상(negotiate) 시스템에 있어서,In the automatic negotiation system of the security protocol (security protocol), 보안-인에이블된 도메인에 대해 인터널이며 연관된 제1 프로토콜 세트를 갖는 인터널 프로토콜에 인터페이스하기 위한 제1 인터페이스 수단;First interface means for interfacing to an internal protocol that is internal to the security-enabled domain and has an associated first protocol set; 보안-인에이블된 도메인에 대해 익스터널이며 연관된 제2 프로토콜 세트를 갖는 익스터널 프로토콜에 인터페이스하기 위한 제2 인터페이스 수단; 및Second interface means for interfacing to an external protocol that is external to a security-enabled domain and has an associated second protocol set; And 상기 인터널 노드와 상기 익스터널 노드 사이의 안전 접속을 확립하기 위한 보안 허가 요청(authorization request)을 수신하고, 상기 인터널 노드에 연관된 제1 프로토콜 세트와 상기 익스터널 노드에 연관된 제2 프로토콜 세트를 비교하여, 상기 제1 프로토콜 세트와 상기 제2 프로토콜 세트 사이의 매칭 프로토콜이 발견된 때에 상기 인터널 노드와 상기 익스터널 노드 사이의 안전 접속을 확립하는 협상 수단Receive a security authorization request to establish a secure connection between the internal node and the external node, and establish a first protocol set associated with the internal node and a second protocol set associated with the external node; In comparison, negotiation means for establishing a secure connection between the internal node and the external node when a matching protocol between the first protocol set and the second protocol set is found. 을 포함하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.Security protocol auto-negotiation system comprising a. 제33항에 있어서,The method of claim 33, wherein 상기 익스터널 노드는 컴퓨터 및 네트워크-인에이블된 무선 디바이스 중 적어도 하나를 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.And wherein the external node comprises at least one of a computer and a network-enabled wireless device. 제33항에 있어서,The method of claim 33, wherein 상기 인터널 노드는 클라이언트 컴퓨터 및 서버 중 적어도 하나를 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.And the internal node comprises at least one of a client computer and a server. 제33항에 있어서,The method of claim 33, wherein 상기 보안-인에이블된 도메인은 분산(distributed) 디렉토리 도메인을 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.And wherein the security-enabled domain comprises a distributed directory domain. 제36항에 있어서,The method of claim 36, 상기 보안-인에이블된 도메인은 인증서-기반(certificate-based) 도메인을 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.And wherein said security-enabled domain comprises a certificate-based domain. 제37항에 있어서,The method of claim 37, 상기 보안-인에이블된 도메인은 인증서-기반(certificate-based) 도메인을 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.And wherein said security-enabled domain comprises a certificate-based domain. 제38항에 있어서,The method of claim 38, 상기 매칭 프로토콜은 X.509 인증서를 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.And the matching protocol comprises an X.509 certificate. 제33항에 있어서,The method of claim 33, wherein 상기 보안 허가 요청은 상기 익스터널 노드에 의해 발생되는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.And the security permission request is generated by the external node. 제40항에 있어서,The method of claim 40, 상기 보안 허가 요청은 상기 인터널 노드에 의해 수신되는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.And the security permission request is received by the internal node. 제33항에 있어서,The method of claim 33, wherein 상기 보안 허가 요청은 상기 인터널 노드에 의해 발생되는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.And the security permission request is generated by the internal node. 제42항에 있어서,The method of claim 42, wherein 상기 보안 허가 요청은 상기 익스터널 노드에 의해 수신되는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.And the security permission request is received by the external node. 제33항에 있어서,The method of claim 33, wherein 상기 협상 엔진은 상기 익스터널 노드와 상기 인터널 노드 사이의 세션이 완료된 경우 상기 안전 접속을 종료하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.And the negotiation engine terminates the secure connection when the session between the external node and the internal node is completed. 제33항에 있어서,The method of claim 33, wherein 상기 협상 엔진은 상기 제1 프로토콜 세트와 상기 제2 프로토콜 세트 사이에 매칭이 발견되지 않은 경우 접속 프로세싱을 종료하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.And the negotiation engine terminates connection processing if no match is found between the first protocol set and the second protocol set. 제33항에 있어서,The method of claim 33, wherein 상기 협상 엔진은 복수의 매칭 프로토콜이 발견된 경우 상기 안전 접속을 확립하는데 사용하기 위한 프로토콜을 선택하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.And the negotiation engine selects a protocol for use in establishing the secure connection when a plurality of matching protocols are found. 제33항에 있어서,The method of claim 33, wherein 상기 인터널 노드 및 상기 익스터널 노드 중 적어도 일방은 다른 일방을 허가하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.And at least one of the internal node and the external node grants the other. 제47항에 있어서,The method of claim 47, 상기 허가는 인증서를 인증서 기관(certificate authority)에 통신하는 단계를 포함하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.The authorization comprises communicating a certificate to a certificate authority. 보안 프로토콜(security protocol)의 자동 협상(negotiate) 방법을 실행하기 위한 프로그램을 저장하고 있는 컴퓨터 판독가능 매체에 있어서,A computer readable medium storing a program for executing an automatic negotiation method of a security protocol, 상기 방법은,The method, 인터널 노드와 익스터널 노드 사이의 안전 접속을 확립하기 위한 보안 허가 요청(authorization request)을 수신 - 상기 인터널 노드는 보안-인에이블된 도메인에 대해 인터널이며, 상기 익스터널 노드는 상기 보안-인에이블된 도메인에 대해 익스터널임 - 하는 단계;Receive a security authorization request to establish a secure connection between an internal node and an external node, wherein the internal node is internal to a security-enabled domain, and the external node is the security- Is external to an enabled domain; 상기 인터널 노드에 연관된 제1 프로토콜 세트와 상기 익스터널 노드에 연관된 제2 프로토콜 세트를 비교하는 단계; 및Comparing a first protocol set associated with the internal node with a second protocol set associated with the external node; And 상기 제1 프로토콜 세트와 상기 제2 프로토콜 세트 사이의 매칭 프로토콜이 발견된 때에 상기 인터널 노드와 상기 익스터널 노드 사이의 안전 접속을 확립하는 단계Establishing a secure connection between the internal node and the external node when a matching protocol is found between the first protocol set and the second protocol set. 를 포함하는 것을 특징으로 하는 컴퓨터 판독가능 매체.Computer-readable medium comprising a. 제49항에 있어서,The method of claim 49, 상기 익스터널 노드는 컴퓨터 및 네트워크-인에이블된 무선 디바이스 중 적어도 하나를 구비하는 것을 특징으로 하는 컴퓨터 판독가능 매체.And wherein the external node comprises at least one of a computer and a network-enabled wireless device. 제49항에 있어서,The method of claim 49, 상기 인터널 노드는 클라이언트 컴퓨터 및 서버 중 적어도 하나를 구비하는 것을 특징으로 하는 컴퓨터 판독가능 매체.And said internal node comprises at least one of a client computer and a server. 제49항에 있어서,The method of claim 49, 상기 보안-인에이블된 도메인은 분산(distributed) 디렉토리 도메인을 구비하는 것을 특징으로 하는 컴퓨터 판독가능 매체.And the security-enabled domain comprises a distributed directory domain. 제49항에 있어서,The method of claim 49, 상기 보안-인에이블된 도메인은 인증서-기반(certificate-based) 도메인을 구비하는 것을 특징으로 하는 컴퓨터 판독가능 매체.And the security-enabled domain comprises a certificate-based domain. 제53항에 있어서,The method of claim 53, 상기 인증서-기반 도메인은 커베로스(Kerberos)-인에이블된 도메인을 구비하는 것을 특징으로 하는 컴퓨터 판독가능 매체.And wherein said certificate-based domain has a Kerberos-enabled domain. 제54항에 있어서,The method of claim 54, 상기 매칭 프로토콜은 X.509 인증서를 구비하는 것을 특징으로 하는 컴퓨터 판독가능 매체.And the matching protocol comprises an X.509 certificate. 제49항에 있어서,The method of claim 49, 상기 보안 허가 요청은 상기 익스터널 노드에 의해 발생되는 것을 특징으로 하는 컴퓨터 판독가능 매체.And the security authorization request is generated by the external node. 제56항에 있어서,The method of claim 56, wherein 상기 보안 허가 요청을 수신하는 단계는 상기 인터널 노드에 의해 실행되는 것을 특징으로 하는 컴퓨터 판독가능 매체.Receiving the security authorization request is executed by the internal node. 제49항에 있어서,The method of claim 49, 상기 보안 허가 요청은 상기 인터널 노드에 의해 발생되는 것을 특징으로 하는 컴퓨터 판독가능 매체.And the security authorization request is generated by the internal node. 제58항에 있어서,The method of claim 58, 상기 보안 허가 요청을 수신하는 단계는 상기 익스터널 노드에 의해 실행되는 것을 특징으로 하는 컴퓨터 판독가능 매체.Receiving the security authorization request is executed by the external node. 제49항에 있어서,The method of claim 49, 상기 익스터널 노드와 상기 인터널 노드 사이의 세션이 완료된 경우 상기 안전 접속을 종료하는 단계를 더 포함하는 것을 특징으로 하는 컴퓨터 판독가능 매체.And terminating the secure connection when the session between the external node and the internal node is completed. 제43항에 있어서,The method of claim 43, 상기 제1 프로토콜 세트와 상기 제2 프로토콜 세트 사이에 매칭이 발견되지 않은 경우 접속 프로세싱을 종료하는 단계를 더 포함하는 것을 특징으로 하는 컴퓨터 판독가능 매체.And terminating connection processing if no match is found between the first protocol set and the second protocol set. 제43항에 있어서,The method of claim 43, 상기 제1 프로토콜 세트와 상기 제2 프로토콜 세트 사이에 매칭이 발견되지 않은 경우 접속 프로세싱을 종료하는 단계를 더 포함하는 것을 특징으로 하는 컴퓨터 판독가능 매체.And terminating connection processing if no match is found between the first protocol set and the second protocol set.
KR1020040049661A 2003-06-30 2004-06-29 System and method for automatic negotiation of a security protocol KR101086576B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/608,334 US7526640B2 (en) 2003-06-30 2003-06-30 System and method for automatic negotiation of a security protocol
US10/608,334 2003-06-30

Publications (2)

Publication Number Publication Date
KR20050002628A true KR20050002628A (en) 2005-01-07
KR101086576B1 KR101086576B1 (en) 2011-11-23

Family

ID=33490832

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040049661A KR101086576B1 (en) 2003-06-30 2004-06-29 System and method for automatic negotiation of a security protocol

Country Status (5)

Country Link
US (1) US7526640B2 (en)
EP (1) EP1501256B1 (en)
JP (1) JP4819328B2 (en)
KR (1) KR101086576B1 (en)
CN (1) CN1578215B (en)

Families Citing this family (52)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8244875B2 (en) * 2002-12-13 2012-08-14 ANXeBusiness Corporation Secure network computing
US8332464B2 (en) * 2002-12-13 2012-12-11 Anxebusiness Corp. System and method for remote network access
JP3783142B2 (en) * 2003-08-08 2006-06-07 ティー・ティー・ティー株式会社 Communication system, communication device, communication method, and communication program for realizing the same
CN100389584C (en) * 2004-12-31 2008-05-21 北京邮电大学 A security capability negotiation method for application server
US8332526B2 (en) 2005-05-25 2012-12-11 Microsoft Corporation Data communication protocol including negotiation and command compounding
US8220042B2 (en) * 2005-09-12 2012-07-10 Microsoft Corporation Creating secure interactive connections with remote resources
CN1980125B (en) * 2005-12-07 2010-08-11 华为技术有限公司 Identity identifying method
WO2007085175A1 (en) * 2006-01-24 2007-08-02 Huawei Technologies Co., Ltd. Authentication method, system and authentication center based on end to end communication in the mobile network
JP2007207067A (en) * 2006-02-03 2007-08-16 Nippon Telegr & Teleph Corp <Ntt> Server/client system, access control method in the system and program therefor
US20110087792A2 (en) * 2006-02-07 2011-04-14 Dot Hill Systems Corporation Data replication method and apparatus
US9419955B2 (en) * 2006-03-28 2016-08-16 Inventergy Inc. System and method for carrying trusted network provided access network information in session initiation protocol
US7783850B2 (en) * 2006-03-28 2010-08-24 Dot Hill Systems Corporation Method and apparatus for master volume access during volume copy
US20070255958A1 (en) * 2006-05-01 2007-11-01 Microsoft Corporation Claim transformations for trust relationships
DE102006038592B4 (en) * 2006-08-17 2008-07-03 Siemens Ag Method and device for providing a wireless mesh network
US8369212B2 (en) * 2006-08-29 2013-02-05 Hewlett-Packard Development Company, L.P. Network path validation based on user-specified criteria
US20080095178A1 (en) * 2006-10-12 2008-04-24 Raydon Corporation Metaprotocol for Network Communications
GB0623101D0 (en) * 2006-11-20 2006-12-27 British Telecomm Secure network architecture
US7831565B2 (en) * 2007-01-18 2010-11-09 Dot Hill Systems Corporation Deletion of rollback snapshot partition
US8751467B2 (en) * 2007-01-18 2014-06-10 Dot Hill Systems Corporation Method and apparatus for quickly accessing backing store metadata
US7827405B2 (en) * 2007-01-19 2010-11-02 Microsoft Corporation Mechanism for utilizing kerberos features by an NTLM compliant entity
US7975115B2 (en) * 2007-04-11 2011-07-05 Dot Hill Systems Corporation Method and apparatus for separating snapshot preserved and write data
US7716183B2 (en) * 2007-04-11 2010-05-11 Dot Hill Systems Corporation Snapshot preserved data cloning
EP1990969A1 (en) * 2007-05-09 2008-11-12 Nokia Siemens Networks Oy Method for data communication and device as well as communication system comprising such device
US8001345B2 (en) * 2007-05-10 2011-08-16 Dot Hill Systems Corporation Automatic triggering of backing store re-initialization
US7783603B2 (en) * 2007-05-10 2010-08-24 Dot Hill Systems Corporation Backing store re-initialization method and apparatus
US8204858B2 (en) 2007-06-25 2012-06-19 Dot Hill Systems Corporation Snapshot reset method and apparatus
GB0813298D0 (en) * 2008-07-19 2008-08-27 Univ St Andrews Multipad encryption
US10015286B1 (en) * 2010-06-23 2018-07-03 F5 Networks, Inc. System and method for proxying HTTP single sign on across network domains
US8631277B2 (en) 2010-12-10 2014-01-14 Microsoft Corporation Providing transparent failover in a file system
US8516158B1 (en) * 2011-06-07 2013-08-20 Riverbed Technology, Inc. Integrating WAN optimization devices with content delivery networks
US9331955B2 (en) 2011-06-29 2016-05-03 Microsoft Technology Licensing, Llc Transporting operations of arbitrary size over remote direct memory access
US8856582B2 (en) 2011-06-30 2014-10-07 Microsoft Corporation Transparent failover
DE102011079399A1 (en) * 2011-07-19 2013-01-24 Bayerische Motoren Werke Aktiengesellschaft Control device for a motor vehicle, programming device and programming system
US8788579B2 (en) 2011-09-09 2014-07-22 Microsoft Corporation Clustered client failover
US20130067095A1 (en) 2011-09-09 2013-03-14 Microsoft Corporation Smb2 scaleout
US8782395B1 (en) 2011-09-29 2014-07-15 Riverbed Technology, Inc. Monitoring usage of WAN optimization devices integrated with content delivery networks
US9538561B2 (en) 2013-05-22 2017-01-03 Intel IP Corporation Systems and methods for enabling service interoperability functionality for WiFi Direct devices connected to a network via a wireless access point
US9961125B2 (en) 2013-07-31 2018-05-01 Microsoft Technology Licensing, Llc Messaging API over HTTP protocol to establish context for data exchange
US9396338B2 (en) 2013-10-15 2016-07-19 Intuit Inc. Method and system for providing a secure secrets proxy
US9894069B2 (en) 2013-11-01 2018-02-13 Intuit Inc. Method and system for automatically managing secret application and maintenance
US9444818B2 (en) 2013-11-01 2016-09-13 Intuit Inc. Method and system for automatically managing secure communications in multiple communications jurisdiction zones
US9467477B2 (en) 2013-11-06 2016-10-11 Intuit Inc. Method and system for automatically managing secrets in multiple data security jurisdiction zones
US10440066B2 (en) * 2013-11-15 2019-10-08 Microsoft Technology Licensing, Llc Switching of connection protocol
CN103826225B (en) * 2014-02-19 2017-10-10 西安电子科技大学 Identity authentication protocol system of selection in a kind of wireless network
US10121015B2 (en) * 2014-02-21 2018-11-06 Lens Ventures, Llc Management of data privacy and security in a pervasive computing environment
KR20160046114A (en) * 2014-10-20 2016-04-28 삼성전자주식회사 Data communication method and elctroninc devcie implementing the same
CN106161224B (en) 2015-04-02 2019-09-17 阿里巴巴集团控股有限公司 Method for interchanging data, device and equipment
US10936711B2 (en) 2017-04-18 2021-03-02 Intuit Inc. Systems and mechanism to control the lifetime of an access token dynamically based on access token use
ES2806799T3 (en) * 2017-08-09 2021-02-18 Siemens Mobility GmbH Procedure to establish a secure communication channel between a first and a second network device
US10587611B2 (en) 2017-08-29 2020-03-10 Microsoft Technology Licensing, Llc. Detection of the network logon protocol used in pass-through authentication
US10635829B1 (en) 2017-11-28 2020-04-28 Intuit Inc. Method and system for granting permissions to parties within an organization
CN112672363B (en) * 2019-10-15 2023-04-18 华为技术有限公司 Method and device for confirming telemetry capability of stream information

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5008879B1 (en) * 1988-11-14 2000-05-30 Datapoint Corp Lan with interoperative multiple operational capabilities
US5010572A (en) * 1990-04-27 1991-04-23 Hughes Aircraft Company Distributed information system having automatic invocation of key management negotiations protocol and method
US5204961A (en) * 1990-06-25 1993-04-20 Digital Equipment Corporation Computer network operating with multilevel hierarchical security with selectable common trust realms and corresponding security protocols
US5828893A (en) * 1992-12-24 1998-10-27 Motorola, Inc. System and method of communicating between trusted and untrusted computer systems
US5471461A (en) * 1993-04-28 1995-11-28 Allen-Bradley Company, Inc. Digital communication network with a moderator station election process
US5530758A (en) * 1994-06-03 1996-06-25 Motorola, Inc. Operational methods for a secure node in a computer network
US5530703A (en) * 1994-09-23 1996-06-25 3Com Corporation Remote communication server with automatic filtering
US5913024A (en) * 1996-02-09 1999-06-15 Secure Computing Corporation Secure server utilizing separate protocol stacks
US6216231B1 (en) * 1996-04-30 2001-04-10 At & T Corp. Specifying security protocols and policy constraints in distributed systems
US6205148B1 (en) * 1996-11-26 2001-03-20 Fujitsu Limited Apparatus and a method for selecting an access router's protocol of a plurality of the protocols for transferring a packet in a communication system
US6125122A (en) * 1997-01-21 2000-09-26 At&T Wireless Svcs. Inc. Dynamic protocol negotiation system
US6055575A (en) 1997-01-28 2000-04-25 Ascend Communications, Inc. Virtual private network system and method
US6304973B1 (en) * 1998-08-06 2001-10-16 Cryptek Secure Communications, Llc Multi-level security network system
JP2000315997A (en) * 1999-04-30 2000-11-14 Toshiba Corp Encryption communication method and node unit
US6871284B2 (en) * 2000-01-07 2005-03-22 Securify, Inc. Credential/condition assertion verification optimization
DE10028715B4 (en) * 2000-06-08 2005-08-11 Siemens Ag Method for communication between communication networks
US20020078371A1 (en) * 2000-08-17 2002-06-20 Sun Microsystems, Inc. User Access system using proxies for accessing a network
US6996841B2 (en) * 2001-04-19 2006-02-07 Microsoft Corporation Negotiating secure connections through a proxy server
US6934702B2 (en) * 2001-05-04 2005-08-23 Sun Microsystems, Inc. Method and system of routing messages in a distributed search network
CN1268088C (en) * 2001-11-29 2006-08-02 东南大学 PKI-based VPN cipher key exchange implementing method
US6845452B1 (en) * 2002-03-12 2005-01-18 Reactivity, Inc. Providing security for external access to a protected computer network
CN1173529C (en) * 2002-06-05 2004-10-27 华为技术有限公司 Protection method for controlling message safety based on message of border gateway protocol

Also Published As

Publication number Publication date
JP2005025739A (en) 2005-01-27
CN1578215A (en) 2005-02-09
CN1578215B (en) 2010-05-12
JP4819328B2 (en) 2011-11-24
US7526640B2 (en) 2009-04-28
KR101086576B1 (en) 2011-11-23
EP1501256A2 (en) 2005-01-26
EP1501256A3 (en) 2007-02-21
US20040268118A1 (en) 2004-12-30
EP1501256B1 (en) 2013-07-24

Similar Documents

Publication Publication Date Title
KR101086576B1 (en) System and method for automatic negotiation of a security protocol
US7356601B1 (en) Method and apparatus for authorizing network device operations that are requested by applications
RU2439692C2 (en) Policy-controlled delegation of account data for single registration in network and secured access to network resources
US8621567B2 (en) Network security and applications to the fabric environment
US7873984B2 (en) Network security through configuration servers in the fabric environment
Ertaul et al. Security Challenges in Cloud Computing.
US6470453B1 (en) Validating connections to a network system
US7036013B2 (en) Secure distributed time service in the fabric environment
US20090052675A1 (en) Secure remote support automation process
JPH09160876A (en) Method and apparatus for mutual confirmation in lan server environment
US20030120915A1 (en) Node and port authentication in a fibre channel network
JP2008072180A (en) Managing method for information and information processor
CN100484027C (en) Network management system and method using simple network management protocol
US7243367B2 (en) Method and apparatus for starting up a network or fabric
CN111628960B (en) Method and apparatus for connecting to network services on a private network
BRPI0615752A2 (en) Consistent consistent provision of fire wall crossing
EP3580901B1 (en) Connection apparatus for establishing a secured application-level communication connection
KR100555745B1 (en) Security system and method for internet commumication between client system and sever system of specific domain
Bornstein et al. Shell Protocols
Graupner et al. Globus Grid and Firewalls: Issues and Solutions Globus Grid and Firewalls: Issues and Solutions in a Utility Data Center Environment1
KR20050078834A (en) A vpn technology using messenger program

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20141017

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20151016

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20161019

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20171018

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20181018

Year of fee payment: 8